Vie privée : le pari du Canada
L’Europe prend très au sérieux la protection des données et impose ses normes à ses partenaires commerciaux. Mais le nouveau projet de loi C-11 sera-t-il considéré adéquat?
Le nouveau projet de loi canadien sur la protection des renseignements personnels déposé le 17 novembre 2020 corrige certains des défauts flagrants du régime actuel, notamment la protection des renseignements personnels fondée sur le modèle de l’ombudsman, et ce qui est devenu, au fil des ans, une structure souvent des plus extravagantes. Cependant, nous devons nous demander si ce projet de loi règle la question cruciale qu’est la capacité du Canada à maintenir un statut d’adéquation acceptable pour l’Union européenne.
Être adéquat, qu’est-ce que ça donne?
L’une des raisons d’être du projet de loi C-11, soit le maintien du statut d’adéquation, permet aux organisations régies par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) d’échanger des renseignements personnels avec des entités de l’Union européenne sans avoir à mettre en œuvre une série de mesures de conformité d’entreprise telles que des règles d’entreprise contraignantes ou des clauses contractuelles normalisées; mesures qui coûtent cher en argent et en temps. L’UE accorde le statut d’adéquation aux pays qui possèdent un régime de protection des renseignements personnels similaire au Règlement général sur la protection des données (RGPD) ou au moins « adéquat ». En théorie, ce statut est assujetti à un examen et passible de révocation si un pays ne satisfait pas aux critères de l’UE.
En ce moment, les organisations régies en vertu de notre loi fédérale, la LPRPDE, jouissent du statut d’adéquation. Cependant, ce n’est pas le cas de celles qui sont assujetties à la Personal Information Protection Act de la Colombie-Britannique ou de l’Alberta ou à la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec (en cours de modification par le projet de loi 64). D’ailleurs, en 2014, le Groupe de travail 29 de l’UE a réputé la législation québécoise inadéquate, déclenchant la refonte actuelle de la législation de cette province sur la protection des données tant dans le secteur privé que public.
Bref, cela vaut la peine de maintenir l’adéquation, car elle réduit les coûts et les incertitudes connexes à la conformité. Toutefois, le projet de loi C-11 est-il assez rigoureux pour permettre au Canada de conserver son statut? Voici quelques-unes des caractéristiques du projet de loi qui suscitent des préoccupations.
Droits individuels et renseignements confidentiels
Le RGPD a créé et renforcé une série de droits dont une personne pourrait se prévaloir contre une entité qui a traité ses renseignements personnels. En Europe, une personne peut accéder à ses renseignements personnels et les corriger. Elle peut exiger qu’une entité transfère ses renseignements personnels à une autre dans un format lisible par machine (droit à la portabilité). La personne peut demander à une entité d’effacer ses données personnelles et toute donnée personnelle qu’elle a rendue publique et d’informer toute entité à laquelle les renseignements ont été transférés qu’elle doit faire de même (droit à l’oubli). Une personne a également le droit de limiter tout traitement de ses données dans certains cas et le droit de s’opposer à la prise de décision automatisée utilisant ses renseignements personnels.
Les droits individuels conférés par le projet de loi C-11 sont dérisoires si on les compare à ceux octroyés par le RGPD. Le projet de loi reconnaît les droits déjà existants d’obtenir accès aux renseignements personnels et de les modifier. Bien qu’il contienne une disposition intitulée « Mobilité des renseignements personnels », selon le droit qu’elle décrit, une organisation communique à une organisation que la personne désigne les renseignements personnels qu’elle a recueillis auprès d’elle, à condition que les deux organisations soient assujetties à un cadre de portabilité des données prévu par règlement. Les modalités de l’accession d’un droit d’accès aux renseignements au statut de droit à la portabilité des données tel que le GDPR le conçoit ne sont pas claires. De même, le projet de loi répond à la question du droit à l’oubli en accordant à la personne le droit de demander qu’une organisation efface ses renseignements personnels. L’organisation n’est aucunement tenue d’effacer quelque renseignement que ce soit qu’elle a mis à la disposition du public ou de demander à des tiers auxquels elle a transmis ces renseignements de le faire. Le projet de loi ne contient aucune indication que la personne puisse être autorisée à limiter le traitement de ses renseignements personnels par une organisation, et la personne n’a pas le droit de s’opposer à la prise de décision automatisée; elle ne possède que le droit d’être informée que ladite prise de décision a lieu.
Le RGPD et le projet de loi C-11 diffèrent dans un autre domaine; différence d’autant plus criante qu’il s’agit de l’une des omissions qui a motivé la conclusion selon laquelle la législation du Québec n’est pas « adéquate », à savoir l’absence de définition des données sensibles ou « catégories particulières » de renseignements personnels dont le traitement exige une protection accrue.
Divulgation aux entités gouvernementales
L’article 44 est l’un des éléments particulièrement surprenants du projet de loi C-11, surtout à la lumière du récent arrêt Schrems II rendu par la Cour de justice de l’Union européenne (CJUE) cet été. Il autorise une organisation à divulguer des renseignements personnels d’une personne à son insu ou sans son consentement « à l’institution gouvernementale — ou à la subdivision d’une telle institution — qui les a demandés en mentionnant la source de l’autorité légitime étayant son droit de les obtenir et le fait que la communication est demandée aux fins du contrôle d’application du droit fédéral, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application ».
Bien que la LPRPDE comporte actuellement une telle disposition (s.-al. 7(3)c.1)ii)) dont les tribunaux se sont servis pour justifier les transferts de renseignements personnels vers les États-Unis à l’insu et en l’absence de consentement de la personne à laquelle ils se rapportent, l’art. 44 énonce précisément le comportement visé par la CJUE dans son arrêt Schrems II. En l’espèce, la CJUE a affirmé que les clauses contractuelles types (CCT) utilisées par Facebook, bien que conformes au RGPD, ne protègent pas suffisamment les renseignements personnels en transit entre l’Europe et les États-Unis. Les sociétés américaines demeurent ouvertes aux demandes de divulgation du gouvernement des États-Unis; demandes qui prévalent sur toute protection contractuelle fournie par les CCT. Si l’art. 44 du projet de loi C-11 n’est pas modifié pour en exclure les demandes émanant d’une entité étrangère, les organisations régies par la LPRPDE pourraient devoir se conformer aux demandes du gouvernement des États-Unis, ce qui se traduit par leur incapacité à offrir la protection des renseignements personnels exigée par l’UE.
Organisations et fournisseurs de services
La relation qu’établit le projet de loi C-11 entre les organisations et les fournisseurs de services est un troisième élément qui pourrait compromettre le statut d’adéquation du Canada. Le projet de loi tend vers une plus grande reconnaissance européenne de l’organisation en tant que responsable des renseignements qu’elle traite, à condition que ladite organisation détermine les fins de la collecte, de l’utilisation et de la divulgation. L’organisation doit protéger les renseignements personnels de la personne et veiller à ce que tout fournisseur de service avec lequel elle traite offre le même degré de protection.
Toutefois, le projet de loi autorise l’organisation à transférer des renseignements personnels à ses fournisseurs de services à l’insu et sans le consentement de la personne, en contradiction directe avec les dispositions du RGPD qui exigent que l’entité responsable du traitement (soit l’homologue européenne de l’organisation) divulgue le nom de toute entité à laquelle elle transfère des renseignements personnels. Cependant, de récentes décisions rendues par la CJUE, notamment dans les affaires Fashion Id et Wirtschaftakademie, ont démontré à quel point cette divulgation est importante, même si elle implique de décrire toutes les utilisations que Facebook pourrait faire des renseignements personnels pour la simple raison qu’une entité responsable du traitement a installé un bouton « aimer » sur son site Web.
Le pari du projet de loi C-11
Alors que le projet de loi C-11 pourrait sembler plus accessible que la LPRPDE, avec des amendes plus salées et une structure plus coercitive, il demeure un pari sur la mesure des concessions que l’UE est prête à faire pour déclarer notre loi adéquate. C’est un pari mal avisé étant donné le message véhiculé dans les récentes décisions de la CJUE selon lequel non seulement l’Europe prend très au sérieux la protection des données, mais elle est déterminée à imposer ses normes à ses partenaires commerciaux. Si le Canada perd son pari, ce sont les entreprises canadiennes qui paieront le prix.